Skip to main content

Einleitung

Sobald du z.B. einen neuen Server installiert hast, wirst du nach einigen tagen feststellen, das sich einige versuchen darauf zu verbinden. Hier einer meiner Server, wie das aussehen kann:

cd /var/log

Dort schaust du einfach in das Logfile auth.log und kannst solche EInträge finden:

Oct 16 00:06:24 linux-test sshd[31407]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=92.255.85.69  user=root
Oct 16 00:06:26 linux-test sshd[31407]: Failed password for root from 92.255.85.69 port 29672 ssh2
Oct 16 00:06:26 linux-test sshd[31407]: Received disconnect from 92.255.85.69 port 29672:11: Bye Bye [preauth]
Oct 16 00:06:26 linux-test sshd[31407]: Disconnected from authenticating user root 92.255.85.69 port 29672 [preauth]
Oct 16 00:17:01 linux-test CRON[31412]: pam_unix(cron:session): session opened for user root(uid=0) by (uid=0)
Oct 16 00:17:01 linux-test CRON[31412]: pam_unix(cron:session): session closed for user root
Oct 16 00:38:17 linux-test sshd[31424]: Invalid user nagios from 92.255.85.69 port 35922
Oct 16 00:38:17 linux-test sshd[31424]: pam_unix(sshd:auth): check pass; user unknown

Hier versucht jemand, das Passwort für den Root-Benutzer zu erzwingen.  (Es spielt keine Rolle, ob die Passwortanmeldung für diesen Benutzer verboten ist. Er kann es trotzdem versuchen, nur wird er jedes Mal scheitern).

Und darum dreht es sich hier in diesen Kapiteln. Der Server soll sicherer gemacht werden, damit den Angreifer keine Möglichkeit für einen Erfolg gegeben wird. Die Kapitel hier bringen sicher nicht den 100 % Schutz. Du kannst mit diesen Methoden die Möglichkeiten der Angriffe minimieren.